Contents

Rubriques Connexes

Exemples d'Interfaces Virtuelles BOVPN

Lorsque vous configurez un Branch Office VPN comme interface virtuelle, le Firebox envoie un paquet via le tunnel en fonction de l'interface de sortie du paquet. L'interface virtuelle BOVPN est dans la table de routage, et la décision d'envoyer ou non le trafic via le tunnel VPN dépend des routes statiques et dynamiques et du routage basé sur stratégie. Cela vous donne de la flexibilité pour la configuration du Firebox dans le cadre de l'utilisation d'un tunnel BOVPN.

Une interface virtuelle BOVPN étant considérée comme une interface dans la configuration, elle offre de nombreuses options flexibles de configuration et de routage. Cette rubrique comporte trois scénarios de configuration qui montrent plusieurs manières de configurer un Firebox pour utiliser une interface virtuelle BOVPN pour atteindre différents objectifs.

Basculement et Restauration Automatique VPN Basés sur Métrique

Schéma montrant une connexion MPLS et BOVPN entre deux sites

Objectif

Pour deux sites connectés par un lien MPLS, permettre un basculement et une restauration automatiques du trafic vers une connexion Branch Office VPN secondaire sur un réseau IP.

Résumé de la configuration

  • Configurez les interfaces externes pour la connexion principale entre les deux sites sur le réseau MPLS. La connexion principale doit utiliser le routage dynamique ou doit être configurée comme une interface virtuelle BOVPN. Il s'agit d'une condition requise pour que la route principale reçoive une meilleure métrique ou soit supprimée de la table de routage lorsque la connexion principale n'est pas disponible.
  • Configurez une interface virtuelle BOVPN pour la liaison secondaire entre les deux sites.
  • Ajoutez une route statique d'interface virtuelle BOVPN et définissez une métrique élevée (200 par exemple) pour cette route.

Pour un exemple de configuration détaillé, consultez Interface Virtuelle BOVPN avec Basculement Basé sur une Métrique.

Fonctionnement

Avec cette configuration, il existe deux routes entre les deux sites :

  • Une route via le réseau MPLS
  • Une autre route statique via l'interface virtuelle BOVPN

Lorsque deux routes sont disponibles, un paquet sera dirigé sur la route dont la priorité est la plus élevée (une métrique inférieure). La route d'interface virtuelle BOVPN possédant une métrique élevée, le Firebox utilise la route principale via le lien MPLS lorsqu'il est disponible. Si le lien MPLS n'est pas disponible, la route principale est supprimée de la table de routage ou une métrique plus élevée que la route de l'interface virtuelle BOVPN secondaire lui est attribuée. Le Firebox utilise ensuite la route de l'interface virtuelle BOVPN secondaire, car il s'agit de la métrique de route la plus basse. Lorsque la route MPLS est à nouveau disponible, le Firebox rebascule automatiquement sur cette route car elle possède une métrique plus basse.

Vous pouvez utiliser une configuration similaire pour activer le basculement et la restauration automatiques entre deux interfaces virtuelles BOVPN. Pour activer le basculement et la restauration automatiques, créez deux interfaces virtuelles BOVPN avec une route statique pour chacune, et définissez la métrique de la route BOVPN préférée à une valeur inférieure à celle de la route BOVPN de secours.

Interface Virtuelle BOVPN avec Routage Dynamique

Schéma d'une connexion BOVPN entre deux sites, chacun avec plusieurs réseaux locaux

Objectif

Permettez à deux sites d'échanger dynamiquement des informations sur plusieurs réseaux locaux via un tunnel VPN sécurisé. Grâce à cette configuration vous n'avez pas à ajouter manuellement et à maintenir des routes configurées de manière explicite entre tous les réseaux privés de chaque site.

Pour configurer un routage dynamique avec BGP vers Microsoft Azure, vous devez utiliser Microsoft PowerShell. Le routage dynamique avec OSPF vers un réseau virtuel Microsoft Azure n'est pas pris en charge. Pour plus d'informations, consultez Interface Virtuel BOVPN pour le Routage Dynamique vers Microsoft Azure.

Le routage dynamique avec OSPF vers un réseau virtuel Amazon Web Services n'est pas pris en charge. Pour plus d'informations, consultez Interface Virtuelle BOVPN pour le Routage Dynamique vers Amazon Web Services (AWS).

Résumé de la configuration

  • Configurez un Branch Office VPN entre les deux sites comme une interface virtuelle BOVPN. Configurez des adresses IP virtuelles dans l'onglet Routes VPN. Assurez-vous que la case Démarrer le tunnel de Phase 1 lorsqu'il est inactif est cochée.
  • Activez le routage dynamique entre les deux sites. Dans la configuration de routage dynamique, utilisez les adresses IP virtuelles comme adresses IP de réseau pair.
    • Pour l'OSPF, utilisez la commande network et configurez l'adresse IP virtuelle de pair avec un masque de réseau /32.
      Par exemple : network <peer_virtual_ip>/32 area 0.0.0.0
    • Pour le BGP, utilisez la commande neighbor et l'adresse virtuelle de pair
      Par exemple : neighbor <peer_virtual_ip> remote-as 65535
  • Utilisez les commandes de routage dynamique pour configurer les routes de réseaux locaux que chaque périphérique propagera. Pour contrôler les routes dynamiques, vous pouvez utiliser le Coût d'interface pour l'OSPF ou la Préférence Locale pour le BGP. Pour l'OSPF, un Coût d'Interface bas signifie une route préférée. Pour le BGP, une Préférence Locale élevée signifie une route préférée.

Pour des exemples de configuration détaillés de BOVPN avec routage dynamique, consultez :

Fonctionnement

L'interface virtuelle BOVPN établit une connexion entre les deux sites. Chaque site propage les routes pour les réseaux locaux sur la base de la configuration de routage dynamique. Le protocole de routage dynamique permet à chacune des passerelles d'apprendre automatiquement les routes vers les réseaux locaux qui se trouvent derrière la passerelle située à l'autre extrémité du tunnel BOVPN. Le protocole de routage dynamique que vous choisissez spécifie si les routes préférées sont choisies sur la base du coût d'interface, de la préférence locale ou des deux.

Interface virtuelle BOVPN avec routage basé sur stratégie

Schéma de deux sites connectés par deux liaisons BOVPN, l'une à latence élevée, l'autre à latence faible

Objectif

Un site (Site A) a une seule interface externe et deux passerelles Branch Office vers un autre site (Site B) qui possède deux interfaces externes. Les deux connexions réseau du site B ont une qualité ou un coût différent. L'objectif est d'envoyer du trafic sensible à la latence (du VoIP par exemple) via le tunnel du réseau avec la latence la plus faible, et d'envoyer tout le reste du trafic (FTP par exemple) dans l'autre route de tunnel.

Résumé de la configuration

Sur le périphérique du site A :

  • Configurez une interface virtuelle BOVPN entre le site A et l'interface externe du site B qui utilise la liaison à faible latence. Vous n'avez pas besoin d'ajouter de routes à l'onglet Route VPN. La première interface virtuelle BOVPN est bvpn1. Assurez-vous de cocher la case Démarrer le tunnel de Phase 1 lorsqu'il est inactif dans la configuration d'interface virtuelle BOVPN.
  • Configurez une autre interface virtuelle BOVPN entre le site A et la seconde interface externe du site B. La seconde interface virtuelle BOVPN est bvpn2. Vous pouvez ajouter des routes pour le reste du trafic.
  • Modifiez la stratégie SIP pour le trafic VoIP.
    • Dans la liste De, ajoutez l'adresse réseau du réseau local d'où provient le trafic géré par cette stratégie.
    • Dans la liste Vers, ajoutez l'adresse réseau du réseau approuvé ou facultatif du site distant où le trafic géré par cette stratégie est acheminé.
    • Activez le routage basé sur stratégie. Sélectionnez l'interface virtuelle BOVPN possédant une latence plus faible pour cette stratégie.
  • Pour le reste du trafic, vous pouvez définir des routes statiques ou dynamiques, et utiliser l'autre interface virtuelle BOVPN possédant une latence plus élevée.

Sur le périphérique du site B :

  • Configurez une interface virtuelle BOVPN entre la première interface externe des sites B et A. Vous n'avez pas besoin d'ajouter de routes dans l'onglet Route VPN. Il s'agit de bvpn1, et c'est la liaison à faible latence dans cet exemple. Assurez-vous que la case Démarrer le tunnel de Phase 1 lorsqu'il est inactif est cochée.
  • Configurez une interface virtuelle BOVPN entre le site A et la deuxième interface externe du site B. Il s'agit de bvpn2. Vous pouvez ajouter des routes pour le reste du trafic.
  • Modifiez la stratégie SIP pour le trafic VoIP.
    • Dans la liste De, ajoutez l'adresse réseau du réseau local d'où provient le trafic géré par cette stratégie.
    • Dans la liste Vers, ajoutez l'adresse réseau du réseau approuvé ou facultatif du site distant où le trafic géré par cette stratégie est acheminé.
    • Activez le routage basé sur stratégie. Sélectionnez l'interface virtuelle BOVPN possédant une latence plus faible pour cette stratégie.
  • Pour le reste du trafic, vous pouvez définir des routes statiques ou dynamiques, et utiliser l'autre interface virtuelle BOVPN possédant une latence plus élevée.

Pour un exemple de configuration détaillé, consultez Interface virtuelle BOVPN avec routage basé sur stratégie.

Fonctionnement

Les deux interfaces virtuelles BOVPN établissent chacune une connexion entre les deux sites. Les adresses de source et destination sont spécifiées par la stratégie, la stratégie SIP dans cet exemple. Bien que les routes ne soient pas définies dans les paramètres de l'interface virtuelle BOVPN, la stratégie SIP utilise le routage basé sur stratégie (PBR) pour rediriger le trafic dans le tunnel à plus faible latence. Cette procédure chiffre les paquets et envoie le trafic par le tunnel. Cette configuration ne permet cependant pas de basculer sur l'autre tunnel, car vous ne pouvez pas configurer de basculement PBR d'une interface virtuelle BOVPN vers une autre.

Si tout le trafic VoIP part du Site A, il n'est pas nécessaire de configurer un routage basé sur stratégie dans la stratégie du Site B. Pour les connexions SIP qui partent du Site A et vont au Site B via le tunnel, le trafic de réponse est automatiquement routé via le même tunnel.

Voir aussi

À propos de Data Loss Prevention

À propos du routage dynamique

Configurer le routage basé sur stratégie

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.